Wir überwinden Grenzen

Bei einem externen Dienstleister wurden unter anderem Daten von rund 54.000 Patient*innen des Universitätsklinikums Freiburg entwendet / Patient*innenversorgung und klinische Systeme zu keinem Zeitpunkt betroffen

Das Universitätsklinikum Freiburg informiert über einen Datenschutzvorfall bei einem externen Dienstleister, der mit zahlreichen Kliniken in Deutschland Leistungen bei Patient*innen mit privater (Zusatz-)Versicherung und Selbstzahler abrechnet. Der Angriff betraf ausschließlich den externen Dienstleister und nicht die Kliniken selbst. Die Patient*innenversorgung oder klinische Systeme waren daher zu keinem Zeitpunkt beeinträchtigt. 

Nach aktuellem Stand ist ein Teil der Patient*innen mit privater (Zusatz-)Versicherung und Selbstzahler des Universitätsklinikums Freiburg in folgendem Maß betroffen: Von rund 54.000 Patient*innen wurden sogenannte Stammdaten wie Name, Geburtsdatum und Adresse gestohlen. In rund 900 Fällen wurden zudem Rechnungsdaten entwendet. Daraus können Informationen zu Diagnose und Behandlungsart hervorgehen. In einer einstelligen Zahl von Fällen waren auch Kontodaten betroffen. 

„Gesundheitsdaten gehören zu den sensibelsten Daten überhaupt. Ihr Diebstahl ist ein schwerwiegender Eingriff für die Betroffenen. Wir nehmen diesen Vorfall sehr ernst und fordern vom Dienstleister lückenlose Aufklärung. Parallel prüfen wir rechtliche Schritte“, sagt Prof. Dr. Frederik Wenz, Leitender Ärztlicher Direktor des Universitätsklinikums Freiburg.

Betroffene Daten und weitere Schritte

Der Cyberangriff auf den externen Dienstleister erfolgte nach bisherigen Erkenntnissen Mitte April. Das Universitätsklinikum Freiburg stoppte unmittelbar nach Bekanntwerden des Vorfalls die Datenübertragung an den Dienstleister. Die zuständige Datenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) wurden am 16. April 2026 informiert. 

Seit Bekanntwerden hat das Universitätsklinikum Freiburg weitere Informationen vom Dienstleister eingefordert. Das konkrete Ausmaß und die Art der abgeflossenen Daten wurde erst am 18. Mai 2026 belastbar mitgeteilt. Deshalb informiert das Universitätsklinikum Freiburg nun unverzüglich die Öffentlichkeit.

Personen, bei denen es Hinweise darauf gibt, dass Gesundheitsdaten gestohlen worden sein können, werden in Kürze durch das Universitätsklinikum Freiburg persönlich kontaktiert. 

Für Fragen und einen DSGVO-konformen Austausch von Daten wurde eine E-Mailadresse eingerichtet: G2.sammel.zentraleabrechnung@uniklinik-freiburg.de

Das Universitätsklinikum Freiburg wird über weitere gesicherte Erkenntnisse informieren.